Android : un malware disponible sur le Play Store a été téléchargé plus de 3 millions de fois
Si les systèmes de vérification d'apps des boutiques d'Apple et de Google rejettent une majorité des malwares, ils restent loin d'être infaillibles. Sur le Play Store, un cheval de Troie baptisé Autolycos a réussi à passer entre les mailles du filet et a été téléchargé plus de 3 millions de fois. Selon le chercheur en cybersécurité Maxime Ingrao, il se cachait dans 8 applications aux fonctions diverses (filtres pour caméra, éditeurs de vlog, claviers originaux…).
Une fois sur le téléphone, ces apps peuvent discrètement inscrire l'utilisateur à des services payants bidon. Elles peuvent agir sans que les pages web ne soient visibles à l'écran, et demandent également l'accès à la lecture des SMS. Les 8 programmes concernées sont : Vlog Star Video Editor, Creative 3D Launcher, Wow Beauty Camera, Gif Emoji Keyboard, Razer Keyboard & Theme, Funny Camera, Freeglow Camera et Coco Camera.
Les créateurs d'Autolycos ont monté de nombreuses campagnes publicitaires sur les réseaux sociaux afin de faire connaître leurs apps vérolées. Le chercheur explique en avoir recensé plus de 70 pour la seule application « Razer Keyboard & Theme ». Pour rassurer les potentielles victimes, les notes de la fiche Play Store ont été bidonnées à l'aide de robots multipliant les retours élogieux.
Le problème a été découvert en juin 2021 avant d'être remonté à Google dans la foulée. L'entreprise a visiblement pris son temps avant de se bouger : si elle a bien supprimé les 8 applications incriminées, deux d'entre elles étaient encore trouvables sur le Play Store la semaine dernière.
Du côté d'Apple, certains malwares ont réussi à outrepasser les vérifications de l'App Store par le passé afin de se glisser sur la boutique. On peut penser à XcodeGhost, une version vérolée de Xcode permettant de compiler des apps infectées : celles-ci étaient ensuite validées sans soucis par Cupertino. L'année dernière, le Washington Post révélait que 2 % des 1 000 apps connaissant la croissance la plus forte dans l'App Store s'avéraient être des pièges pour les utilisateurs.
On comprend mieux pourquoi certains éditeurs d’App préfèrent les Stores Alternatifs pour pouvoir se financer avec de tels Malwares 👺
Les stores officiels sont bien plus efficaces pour la diffusion de ces malwares en raison de la confiance accordée par les utilisateurs qui ne se méfient pas.
@r e m y
🤪 les consommateurs installent n’importe quoi du moment que c’est gratuit avec des étoiles ⭐️
@Sgt. Pepper
C’est clair sans même réfléchir 😅 3 millions c’est pas rien quand même
@Sgt. Pepper
Du coup je préfère un store alternatif d'un éditeur connu plutôt que le store non infaillible officiel sur lequel on n'est jamais sûr que l'éditeur soit bien celui que l'on imagine.
@koko256
Ah oui et tu crois qu'un store par Facebook, Amazon ou Epic Game serait mieux protégé ? Ou en quoi un Google Play pour iOS serait mieux protégé que le Google Play d'Android ? On voit très bien que le Fire Store, le Galaxy Store et le Huawei Store sont aussi plein d'app vérolée et pas fiable
Si le store ne contient que mes applis de Facebook.
@v1nce29
Facebook ne fera pas une store que pour ses appli 🤦♂️ S'ils font un store ce sera pour compétitionner Apple et prendre leur côte des revenus 😂
@Mrleblanc101
Ce n'est pas du tout de que j'ai dit. J'ai parlé de la boutique de l'éditeur. Exemple pour Fortnite, la boutique d'Epic. Pour PS, la boutique d'Adobe. Pour Office la boutique de Microsoft. Pour les logiciels open source, je suis sûr que les petits gars d'homebrew auraient une boutique.
@koko256
Ça ne fait aucun sens d'avoir une boutique par app 🤦♂️ Si Epic lance une boutique ce n'est pas pour Fortnite mais pour empocher des milliards avec une commission sur les apps des autres
Cela fait sens pour ceux qui pensent différemment de toi, mais c'est beaucoup demander un peu d'ouverture d'esprit
Je suis toujours étonné de voir le nombre de téléchargements que ce genre d'apps peuvent avoir.
@Ichigo-Roku
y a des centaines de millions d'utilisateurs
nombre de gens téléchargent puis virent
et y a aussi les bots qui téléchargent... :)
Le Washington Post c’est Jeff Bezos !
Ahah conspiration quand tu nous tiens.
@Amaczing
Le washington post c'est acheté grâce à l'argent d'Amazon, Amazon fut investi par Blackrock, et qui est actionnaire de BlackRock ? La reine d'Angleterre !
Taintaintaiiiiiiiin !
@oomu
Keuyaaaa??
"Emoji keyborad 1"
Rien que ça ça pue 😅
Bravo
Store officiel ou pas, quand c’est marqué “Free download” + Lien sponsorisé + phaute d’orthographe dans le titre avec des designs et palettes de couleurs conçus pour des bambins, on a deja une serieuse serie de red flags 😁
@Paquito06
👍
Une concurrence à Google 😂🤣
On se moque, on se moque mais presse-citron relève qu'un an après Apple n'a pas vraiment fait le ménage dans les fleecewares signalés par vpncheck. Il en reste 84 sur 133.